SQL Injection
SQL Injection = เป็นเทคนิคการ Hack ที่สามารถนำเอาไปใช้ในการส่ง SQL Statement เพื่อส่งไปให้กับ Application เพื่อที่จะสามารถแก้ไข ข้อมูล หรือ Access Database ของเราได้ ซึ่งนักพัฒนาจะต้องระมัดระวังในการพัฒนาให้ดี เพราะหากไม่มีความรู้ความเข้าใจ อาจจะทำให้เป็นช่องโหว่ในการถูกโจมตีจาก Hacker ได้ ตัวอย่างในไฟล์ Youtube ที่แนบนี้ จะเป็นจากการที่นักพัฒนา ไม่ได้ทำการป้องกันในฝั่ง Web Application อย่างดีพอ แม้จะมีการ Validate ในส่วนของ User Interface ด้วย Java Script แล้วก็ตาม แต่ก็ถูก Hacker ปลดออก อย่างง่ายได้ และ ทำการ Injection ด้วยประโยคที่ฮิตที่สุดคือ ' or 1=1 -- ทำให้สามารถ Access เข้าหน้า Profile ของ User ได้ และสามารถต่อยอด ได้อีกมากมาย เช่น ทำการแก้ไข email ของ user คนนั้นเป็น email ของ Hacker เพื่อที่ Hacker จะสามารถได้รับ email ของ user คนนั้นแทน โดยที่ user จะไม่ทราบเลยก็ได้ หรือจะทำการ ลบ ข้อมูลทั้งหมดเลยก็สามารถทำได้ (แต่ Hacker ไม่ทำครับ เพราะเดี๋ยว Admin รู้) ดังนั้นต้องลองศึกษาให้ดีครับ เช่นใครที่พัฒนา ASP.NET ก็ต้องใช้พวก SQL Parameter ร่วม เพื่อความปลอดภัยครับ
บทความที่เกี่ยวข้อง
